Purple Team en Pratique: Construire une Boucle de Feedback Red vs Blue

Le Purple Team n'est pas un atelier trimestriel avec pizza et belles diapositives. C'est une cadence d'ingenierie ou chaque TTP execute par la Red devient une hypothese de detection pour la Blue en moins de 72 heures. Chez Basilisk OffSec, on tourne en sprints de deux semaines: 10 techniques selectionnees dans ATT&CK, execution controlee en laboratoire corporatif, et cloture avec une regle Sigma deployee en production. Le KPI n'est pas combien de shells la Red a obtenu, mais combien de techniques sont passees de 'non detectee' a 'alertee avec faible faux positif'. Qui ne mesure pas ce delta fait du theatre securitaire couteux.

Le point de depart est un catalogue de techniques priorise par threat intel reel, pas par mode DEF CON. On prend des rapports recents (Mandiant M-Trends, CrowdStrike OverWatch, ANSSI CERT-FR) et on les croise avec la matrice ATT&CK Enterprise v15. Pour une operation financiere, par exemple, T1078.004 (comptes cloud), T1558.003 (Kerberoasting) et T1059.001 (PowerShell) finissent en haut. Avant l'execution, la Red documente la procedure exacte selon Adversary Emulation avec Caldera et MITRE ATT&CK en Lab d'Entreprise et la Blue dessine quelle telemetrie devrait capturer chaque etape. Ce contrat ecrit elimine le classique 'on n'a pas vu parce que Splunk n'ingerait pas cet index'.

L'execution se fait dans une fenetre convenue, avec un flag d'exercice dans les logs et un canal Slack #purple-live ouvert. Chaque action Red recoit un timestamp UTC, le hostname cible et le hash du binaire utilise. Quand on lance Kerberoasting via Rubeus, l'operateur note le ticket exact extrait et le compte de service cible, comme dans le flux de Pentest Active Directory : Kerberoasting Pas a Pas dans un Lab GOAD. En parallele, l'analyste SOC tente la detection en temps reel sans savoir quelle etape arrive, simulant le scenario reel. Si capture en 4 minutes, on note vert. Si passe inapercue, ca devient un ticket Jira avec priorite definie par la criticite de l'actif touche.

Apres execution, le vrai travail commence: transformer un constat en regle durable. On utilise le pipeline decrit dans Threat Hunting avec Sigma et Elastic: De l'Indicateur a la Regle de Detection pour convertir les hypotheses en Sigma, puis en EQL sur Elastic et KQL sur Sentinel. Une regle n'est mergee dans main que si elle remplit trois criteres: couvre la technique de l'exercice, genere moins de 5 faux positifs par semaine en staging, et a un playbook de reponse lie. Les techniques d'evasion comme celles de Evasion EDR pour la Recherche: Direct Syscalls Expliques sans Romance et Bypass d'AMSI et d'ETW pour la Recherche Defensive: Ce que les Blue Teams Doivent Savoir forcent l'equipe a sortir de la signature pour aller vers la detection comportementale, en surveillant les appels NtAllocateVirtualMemory et les patterns parent-child anormaux.

L'infra d'exercice doit etre auditable. Le C2 tourne en VLAN isole avec capture PCAP complete, selon le modele de Construire une Infra C2 avec Sliver en Lab Isole pour la Recherche Defensive, et le trafic est miroite vers le SIEM de staging via port mirror. Les mouvements lateraux suivent le playbook de Mouvement Lateral en Lab: SMB, WMI et WinRM avec Focus Detection avec Impacket et Evil-WinRM, toujours avec flag /OPSEC=false pour garantir que les artefacts sont visibles a la Blue. Le pivoting interne utilise Chisel selon Pivoting avec Chisel et Ligolo-ng : Reseaux Segmentes en Lab de Pentest. Tout est journalise dans un repo Git prive: chaque commit Red est reference par la PR de regle Blue, creant une tracabilite que les auditeurs adorent et que le manager adore montrer au board.

La communication tue plus de programmes Purple Team que le manque d'outils. On etablit un vocabulaire commun: 'detecte' signifie alerte generee et triee, pas juste log present dans un index froid. Les retros durent 60 minutes avec trois diapos: techniques executees, detections livrees, dette technique ouverte. Metriques suivies: MTTD par categorie ATT&CK, pourcentage de couverture des Tactics dans l'environnement, et nombre de regles avec taux FP au-dessus du seuil. En six mois, un client est passe de 23% de couverture Credential Access a 71%, avec baisse de 40% des alertes bruyantes.

Conclusion pratique: commencez petit et mesurable. Choisissez cinq techniques pertinentes pour votre secteur, redigez un contrat avec le SOC, executez en fenetre courte avec logging complet, et ne fermez pas le sprint sans regle Sigma versionnee dans Git. Un Purple Team qui ne laisse aucun artefact versionne derriere lui n'a pas passe l'echelle, il a juste diverti. Le cycle Red-construit-hypothese, Blue-valide-telemetrie, equipe-merge-regle-en-prod doit tenir en deux semaines. Si ca prend plus longtemps, vous gerez un projet, pas une detection continue.